Pourquoi réaliser un audit sécurité de votre application mobile ?

Détectez vos vulnérabilités

Vous n’êtes peut-être pas au courant des cyberattaques qui endommagent vos systèmes. Grâce à notre audit de sécurité et à nos tests d’intrusion dans les applications mobiles, vous pouvez découvrir les vulnérabilités de votre application, anticiper les attaques à venir et les combattre.

Se mettre en conformité

Avant d’être mise en ligne, l’application doit respecter les normes utilisateur, techniques, de sécurité et d’exploitation. En auditant et en testant votre application mobile, vous pouvez vivre en toute sécurité et en toute tranquillité.

Lancez votre application en toute sécurité

Comment être sûr que votre application mobile est sécurisée et que votre entreprise respecte les normes de sécurité et les réglementations du secteur? Les menaces à la sécurité étant compliquées et obscures, les mesures de sécurité des applications mobiles sont souvent négligées. La conformité de vos applications Android et iOS est facile à obtenir avec notre audit de sécurité et nos tests d’intrusion.

Prévenir les cyberattaques coûteuses

Détecter et résoudre les problèmes techniques dès le début garantit votre réputation et votre crédibilité auprès de vos clients. En effectuant des audits de sécurité et des tests d’intrusion, vous évitez des dépenses inutiles en informatique, services juridiques, relations publiques et autres domaines affectés par des problèmes liés à une violation.

Notre intervention d’audit de votre application mobile en 4 étapes :

Évaluation des risques et définition du périmètre

Tests d’intrusion manuels et semi-automatisés / Analyse des codes sources et des échanges de données

Rapport d’audit incluant les préconisations / support aux équipes techniques

Mise en place des correctifs pour rendre votre application sécurisée !

AUDIT DE SÉCURITÉ DES APPLICATIONS MOBILES

  • test flou de toutes les entrées utilisateur, vérifier si tous les paramètres d’entrée sont correctement validés
  • test de la logique métier
  • analyse si le chiffrement et la signature numérique sont utilisés par l’application
  • l’analyse de l’authentification sécurisée entre l’application mobile et les services Web est utilisée
  • vérifier si un stockage sécurisé est utilisé
  • si les certificats de client SSL ne sont pas utilisés, analyse de la stratégie de mot de passe utilisée

Au cours des tests, nous nous concentrons principalement sur les aspects suivants :

  1. Identifiez et protégez les données sensibles sur le périphérique mobile.
  2. Gérez les identifiants de mot de passe en toute sécurité sur le périphérique.
  3. Assurez que les données sensibles sont protégées en transit.
  4. Implémentez correctement l’authentification, l’autorisation et la gestion des sessions.
  5. Conservez les API (services) principales et la plate-forme (serveur) en sécurité.
  6. Intégration sécurisée des données avec des services et applications tiers.
  7. Portez une attention particulière à la collecte et au stockage du consentement pour la collecte et l’utilisation des données de l’utilisateur.
  8. Mettre en place des contrôles pour empêcher tout accès non autorisé à des ressources payantes (portefeuille, SMS, appels téléphoniques, etc.)
  9. Assurer la distribution / provisioning sécurisée des applications mobiles.
  10. Vérifiez soigneusement l’interprétation du code à la recherche d’erreurs.

AUDIT DE SÉCURITÉ DES SERVICES WEB (REST / SOAP)

L’audit de sécurité des services Web (REST / SOAP) est réalisé en tant qu’audit de sécurité «blackbox» (sans connaissance des schémas XSD / WSDL, informations d’identification, etc.) et en tant qu’audit de sécurité «whitebox» (avec connaissance des API et des informations d’identification fournies). Dans les deux cas, le test est effectué conformément au guide de test OWASP,

Les applications mobiles proposent tous types de services, elles font partie intégrante de notre quotidien et traitent plus de données sensibles que n’importe quel autre média. 
En ne réalisant pas d’audit de sécurité, les applications sont distribuées avec des failles et comportements non désirés qui peuvent potentiellement mener à une fuite de données.